(T) Algorytmy protokołu IPsec*

Algorytmy protokołu IPsec

Rodzaje algorytmów IPsec

Metody Autentykacji (Authentication metod)

  • Symetric Key Exchange
  • Asymetric Key Exchange
  • PSK (Pre Share Key) – Mechanizm bezpieczeństwa, w którym lokalnie skonfigurowany klucz jest używany jako poświadczenie w celu wzajemnego uwierzytelnienia dwóch urządzeń.
  • RSA (Rivest-Shamir Adelman Algorithm) –

Certyfikaty podpisu cyfrowego

  • DSA (Digital Signature Algorithm) –
  • ECDSA (Elliptic Curve Digital Signature Algorithm) –
  • PKI (Public Key Infrastructure) –

Algorytmy szyfrujące (Encryption Algorithm)

  • DES (Data Encryption Standard) – 56-bitowy symetryczny algorytm szyfrowania danych. Obecnie jego wykorzystanie nie jest zalecane, z powodu niskiego poziomu zabezpieczeń.
  • 3-DES (Triple Data Encryption Standard) – Algorytm szyfrowania danych, trzykrotnie uruchamiający algorytm DES z trzema różnymi 56-bitowymi kluczami. Obecnie jego wykorzystanie nie jest zalecane.
  • AES (Advanced Encryption Standard) – Symetryczny algorytm szyfrowania danych, opracowany w celu zastąpienia algorytmu DES oraz 3DES. Algorytm AES obsługuje klucze o długości 128, 192 oraz 256 bitów (Jest oparty na algorytmie Rijndael).

Algorytmy haszujące (Hash Algorithm)

  • MD5 (Message-Digest Algorithm) – Jednokierunkowy 128-bitowy algorytm haszujący, wykorzystywany do uwierzytelniania przesyłanych danych. Urządzenia Cisco wykorzystują algorytm MD5 HMAC, który zapewnia dodatkowy poziom ochrony przed atakami MitM. Używanie tego algorytmu nie jest już zalecane.
  • SHA (Secure Hash Algorithm) – Jednokierunkowy 160-bitowy algorytm haszujący, wykorzystywany do uwierzytelniania przesyłanych danych. Urządzenia Cisco wykorzystują algorytm SHA-1 HMAC, który zapewnia dodatkową ochronę przed atakami MitM (Stanowi następce algorytmu MD5).

Wymiana klucza (Diffie-Hellman Group)

  • DH (Diffie-Hellman) – Asymetryczny protokół wymiany kluczy, umożliwiający bezpieczną wymianę współdzielonego klucza (Shared secret key), używanego przez algorytmy szyfrowania takie jak AES czy DES, poprzez niezabezpieczony kanał komunikacyjny pomiędzy dwoma urządzeniami. Grupa DH odnosi się do długości klucza (rozmiaru modułu) używanego do bezpiecznej wymiany kluczy. Przykładowo grupa pierwsza DH używa 768 bity, grupa druga 1024 natomiast grupa piąta używa 1536 bitów. Im większy moduł protokołu DH tym wymiana klucza współdzielonego jest lepiej zabezpieczona.

Transform Sets

Transform TypeTransform
Authentication Header Transformah-md5-hmac
Authentication Header Transformah-sha-hmac
Authentication Header Transformah-sha256-hmac
Authentication Header Transformah-sha384-hmac
Authentication Header Transformah-sha512-hmac
ESP Encryption Transformesp-aes
ESP Encryption Transformesp-gcm
esp-gmac
ESP Encryption Transformesp-aes 192
ESP Encryption Transformesp-aes 256
ESP Encryption Transformesp-des
esp-3des
ESP Encryption Transformesp-null
ESP Encryption Transformesp-seal
ESP Authentication Transformesp-md5-hmac
ESP Authentication Transformesp-sha-hmac
IP Compression Transformcomp-lzs
Dostępne rodzaje Transform Sets

Pozostałe tematy związane z protokołem IPSec

PDFPRINT

Robert T Kucharski

Cisco Network Engineer in GPW.

Dodaj komentarz